TCPDUMP é uma das ferramentas mais fantásticas que existem, presente em praticamente todas as distribuições Linux, você precisa de alguns privilégios para executá-la ou nenhum, caso você seja root
Há livros, cursos e certificações sobre Wireshark, excelente ferramenta que faz até um pouco mais do que o TCPDUMP, mas tem um problema, o wireshark é vulnerável a ataques.
Você precisa possuir bons conhecimentos em TCP/IP para saber utilizar e até mesmo interpretar o outuput gerado pelo TCPDUMP, acontece que há pouco documentação esclarecedora sobre o assunto, até que eu acabei encontrando este tutorial fantástico. Segue também um PDF com os principais comandos.
Espero que isso ajude.
Fonte:CorujadeTi